ServiceAktuelles

Ärzte Zeitung online, 17.09.2019
Röntgen- und MRT-Bilder
Millionen Patientendaten auf ungesicherten Servern

Hochauflösende radiologische Bilder, verknüpft mit Informationen zu Patienten, sind jahrelang ungeschützt im Internet gespeichert gewesen. Betroffen sind auch 13.000 Datensätze aus Deutschland. BSI und Datenschützer sind alarmiert.


NEU-ISENBURG - Millionen radiologische Datensätze von Patienten aus 50 Ländern sind über Jahre hinweg ungeschützt im Internet zugänglich gewesen. Das haben Recherchen des Bayerischen Rundfunks und des Rechercheportals ProPublica ergeben.
In Deutschland seien mehr als 13.000 Datensätze von Patienten betroffen, die bis vergangene Woche online abrufbar gewesen seien. Sie stammten aus mindestens fünf verschiedenen Standorten, der größte Teil entfalle auf die Räume Ingolstadt und Kempen in Nordrhein-Westfalen.

Ungesicherte PACS-Server
Zugänglich seien Daten auf sogenannten PACS-Servern gewesen, die von Radiologen zur Archivierung von Bilddaten genutzt werden, berichtete der Bayerische Rundfunk.
Hintergrund: In der Radiologie werden Daten in einem Volumen von mehreren Gigabyte pro Patient verarbeitet. Dafür werden Picture Archiving and Communication Systems (PACS) genutzt. Laut Bericht auf „tagesschau.de“ war es ein IT-Sicherheits-Experte, der die Datensätze auf ungesicherten Servern entdeckt und daraufhin die Journalisten kontaktiert hatte.

BSI: Betroffene Einrichtungen kontaktiert
In einer Stellungnahme des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das von IT-Sicherheitsforschern informiert worden sei, heißt es, dass die betroffenen medizinischen Einrichtungen anhand der IP-Adressen ermittelt und dann kontaktiert worden seien.
Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Es lägen aber keine Erkenntnisse vor, „dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind“.
„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient“, wird BSI-Präsident Arne Schönbohm in der Mitteilung zitiert.

Wohl einzelner Anbieter
Der Bundesdatenschutzbeauftragte Ulrich Kelber sprach im ARD-Morgenmagazin von einem „erschreckenden Ausmaß“ des Vorfalls. Es liege offenbar an einem „einzelnen Anbieter“, der international tätig sei, der nicht einmal die grundlegendsten Sicherungsmaßnahmen ergriffen hat. Gesundheitsdaten gehörten „zu den sensibelsten Daten, die man sich vorstellen kann“, sagte Kelber.
Gerade „im Gesundheitsbereich erleben wir aber immer wieder veraltete Geräte, deren Betriebssysteme und Software dann keine Updates mehr erhalten“, kritisierte der Datenschutzbeauftragte. „Wir werden immer stärker durchsetzen müssen, auch mit Strafen, dass diese entscheidenden Sicherheitsmaßnahmen erfolgen.“
Für die nötigen Kontrollen müsse der Personalbestand in den Datenschutzbehörden aufgestockt werden, forderte Kelber.

(ger/mu)